GDPR COVID-19: cum măsurăm temperatura angajaților și vizitatorilor?

temperatura scanare covid-19 GDPR

Update 20 05 2020: potrivit informațiilor regăsite pe site-ul Ministerului Sănătății, conform ordinului ce urmează să fie publicat în Monitorul Oficial, în cazul triajului epidemiologic nu se vor colecta date cu caracter personal.

Update 18 05 2020: între timp nu mai avem Hotărârea CNSSU nr. 24/2020, dar avem Hotărârea CNSU nr. 25/2020, iar articolul a fost actualizat cu aceste prevederi.

Descarcă document oficial de aici:

În vreme ce în multe state din Uniunea Europeană este interzis să iei temperatura angajaților și a vizitatorilor, în România în acest lucru tocmai a devenit legal prin Hotărârea CNSSU nr. 24/2020 și Legea nr. 55/2020, prin urmare angajatorii, operatorii economici, instituțiile publice și private au obligația de a măsura temperatura persoanelor care intră în incintă pentru a respecta obligațiile legale.

Însă acest lucru nu poate fi făcut începând de mâine pe ideea că va exista o persoană la intrare cu un termometru și va decide cine intră și cine nu în clădire. Prelucrarea datelor de temperatură corporală ridică mari problemele de implementare și de punere în practică, pe care le vom aborda în cele ce urmează.

Ce date prelucrăm?

Suntem obligați să luăm temperatura persoanelor care intră într-o clădire, incintă sau unitate, indiferent că vorbim de angajați, personal propriu sau vizitatori.

Prin urmare, toate persoanele care vor să intre în clădire trebuie să treacă prin triajul epidemiologic constând în măsurarea temperaturii corporale.

Temperatura corporală este o dată sensibilă

Ca toate prelucrările de date, colectarea datelor privind  temperatura trebuie să fie reglementată de principiile stabilite în Regulamentul General privind Protecția Datelor (RGPD în română, GDPR în engleză) și, printre acestea, de principiul legalității. 

Acest tratament trebuie să se bazeze pe o cauză legitimă a celor prevăzute în legislația privind protecția datelor pentru categoriile speciale de date (articolele 6.1 și 9.2 din GDPR).

Potrivit art. 9 alin. (1) din GDPR: se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

sau continuă cu:

Dezbatere: este temperatură o dată biometrică?

Ei bine, aici părerile sunt împărțite.

Potrivit autorității privind protecția datelor din Franța, temperatura corporală este o date care aparține datelor de sănătate și face parte din categoria datelor personale sensibile.

Dacă ne uităm în USA, care au CCPA, temperatura corporală este considerată o dată biometrică. În acest asentiment au fost și cei care au interpretat Illinois Biometric Information Privacy Act (BIPA) și au spus că intră în categoria datelor biometrice.

Recomandările FIA privind colectarea și prelucrarea datelor biometrice în motosport prezintă temperatura corporală ca fiind o dată biometrică.

Iar conform unui studiu publicat în revista Science Direct, temperatura corporală este o dată biometrică, considerând că datele biometrice sunt ”cele care aparțin pur și simplu organicelor (cele vii) și sunt metrice (măsurabile), de exemplu: conturul sau forma mâinii, a degetelor, amprentelor digitale, venelor, temperatura lor, forma feței, imaginea irisului, bătăile inimii , ritmul său etc.”

Totuși, dacă ne-am lămurit că sunt date privind sănătatea, este încă neclar dacă acestea sunt sau nu date biometrice.

O explicație foarte bună am primit-o de la Marius Dumitrescu, specialist în protecția datelor:

„Măsurarea temperaturii este o procedură medicală și nu există restricții legale privind persoanele care pot aplica aceasta procedură. Este foarte important a nu se confunda procedura medicală cu actul medical sau intervenția medicala.

Ca specialiști în domeniul protecției datelor, este important să analizăm “valoarea temperaturii” și din prisma Regulamentului (UE) 679/2016. Ea nu poate fi considerata dată cu caracter personal pentru că nu identifică în mod unic o persoană și în plus este variabila în timp, existând posibilitatea ca valoarea temperaturii să fie comună pentru un grup întreg de persoane.

Chiar dacă este asociată unui nume, nu temperatura este informația care conduce la identificarea persoanei vizate. Și categoric, nu este „dată biometrică”, chiar dacă rezultă în urma unor tehnici de prelucrare specifice ale caracteristicilor fizice, valoarea temperaturii nu permite sau nu confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale, amprentele digitale, amprentele dentare sau datele dactiloscopice”.

Recomandarea noastră rămâne ca fiecare organizație în parte să aleagă în cunoștință de cauză ce fel de date prelucrează și în ce context. Într-adevăr, am putea merge pe ideea că este mai bine să fii 100% bullet proof și să elimini orice fel de suspiciune, conform principiului ”cine poate mai mult, poate mai puțin”, însă totodată este datoria tuturor să facem lumina asupra categoriilor de date pe care le prelucrăm și să le încadrăm corect, mai ales că datele biometrice presupun măsuri sporite de securitate, care e posibil să nu își găsească rostul în acest context.

Până la acest moment nu avem o poziție oficială a Autorității privind Protecția Datelor din România, pe care o așteptăm cu nerăbdare.

Măsurarea temperaturii se va face diferențiat

Art. 13 din Legea nr. 55/2020 vine cu 2 tipuri de reglementări:

  • pentru vizitatori: măsurarea temperaturii prin orice fel de mijloc, inclusiv contact/non-contact
  • pentru personalul propriu: prin termometru non-contact.

De aici rezultă că pentru personalul propriu, inclusiv angajați sau persoane care colaborează cu tine în incintă trebuie să ai un termometru non-contact. 

În schimb, pentru vizitatorii poți să apelezi la orice fel de mijloc care poate scana temperatura, inclusiv termometru clasic, electronic sau benzi care se pun pe frunte pentru stabilirea temperaturii. 

Ca angajator, ești obligat să desemnezi un responsabil pentru verificarea temperaturii tuturor persoanelor care intră în unitate/instituție.

Verificarea temperaturii angajaților se va face la începerea programului de lucru și ori de câte ori este necesar pe parcursul programului, inclusiv de fiecare dată când un angajator părăsește clădirea și vine înapoi.

Ar trebui ca aparatele să fie omologate?

Teoretic, da, practic nu avem nicio instrucțiune în acest sens. 

Amintim de omologare pentru că unul din principiile fundamentale ale GDPR este ca datele prelucrate să fie exacte.

Principiul exactității, aplicat în acest context, presupune că echipamentul de măsură utilizat trebuie să fie adecvat pentru a putea înregistra în mod fiabil intervalele de temperatură considerate relevante, în cazul nostru de 37.3 grade Celsius. 

Ar trebui să fie folosite numai echipamente aprobate în acest scop și cu criterii care țin cont de aceste niveluri de sensibilitate și precizie. Personalul care le folosește trebuie să îndeplinească cerințele stabilite legal și să fie instruit în utilizarea lor. 

Spre exemplu: dacă iei un aparat de măsurare a temperaturii non-contact dintr-un magazin și îl pui într-o cameră, vei putea observa că îți va da valori diferite în același loc. Pentru că are o marjă de eroare, conform specificațiilor înscrise pe ambalaj și pentru că există condiții de îndeplinit ca să măsoare temperatura exact, precum ca suprafața să nu fie umedă (transpirată).

Gândește-te la aparatele de tensiune pe care le folosești acasă: ca să aibă o precizie cât mai bună, trebuie să fii doctor în drept și să ai un echer pentru a calcula unghiul la care să ții mână. Chiar și așa, marja de eroare este incredibil de mare.

Prin urmare, aparatele ar trebui să fie omologate, exact ca la orice alt tip de aparat folosit pentru ducerea la îndeplinire a unor obligații legale, fix cum a fost la aparatele radar. Având în vedere că nu avem asemenea norme și că nici nu se previzionează în curând adoptarea lor, cel mai probabil fiecare operator va măsura temperatura cu ce are pe la îndemână, caz în care inclusiv un aparat de măsurat temperatura ambientală pe care îl găsim la Hornbach sau Dedeman este bun.

Din păcate însă, în piață există aplicat principiul reducerii de costuri din partea operatorilor și văd această măsurare a temperaturii ca fiind ceva impus de către guvern, fără a-i acorda foarte multă atenție, după cum afirmă Cristian Iosub, specialist în securitatea datelor.

Prin urmare, temperatura momentan o poate măsura oricine, fiind o procedură non invazivă și care nu presupune o pregătire prealabilă (de aceea suntem toți capabili să ne cumpărăm termometre și să ne măsurăm temperatura).

trusa prim ajutor facilitati stat covid-19

Cine poate face aceste măsurători?

Așa cum arătam, ca angajator trebuie să desemnezi un responsabil pentru verificarea temperaturii tuturor persoanelor care intră în unitate/instituție.

Cum preciza Cristian Iosub anterior, nu există o cerință specifică privind eventuale certificări sau instructaje pe care să le aibă persoanele însărcinate cu această măsurătoare.

Prin urmare, după cum am putut vedea, inclusiv agenții de pază din cadrul magazinelor au procedat la efectuarea acestor testări. Nu intrăm în discuția dacă aceste atribuții au fost menționate în mod expres prin fișa postului sau dacă persoanele respective sunt remunerate în plus pentru această operațiune, mai ales că mulți din aceștia ajung să nu mai ducă la îndeplinire sarcina pentru care au fost angajați, respectiv aceea de securitate și pază. 

Totuși, agenții de pază sau personalul delegat prelucrării acestor date ar trebui să aibă un instructaj făcut astfel încât să poată identifica momentele în care aparatele de măsurare pot indica valori de peste 37.3 grade Celsius (spre exemplu, temperatura femeilor crește după ovulație).

Unde măsurăm temperatura?

În general, exista mici variații ale temperaturii, în funcție de zona în care a fost făcută măsurătoarea. Temperatura resimțită pe frunte, prin atingere, este de regulă cu 0,3-0,5 grade Celsius mai scăzută decât temperatura orală.

Prin urmare, pentru a duce la îndeplinire o obligație legală, ar fi trebuit ca această îndatorire să vină și cu orientări clare privind locul din corp unde se va face această măsurare (ie. frunte, mână etc.) în cazul unui termometru non-contact.

Această dilemă nu dispare nici atunci când folosim camere termice, pentru că și acelea trebuie reglate încât să preia temperatura din anumite zone ale corpului, iar majoritatea au o limită de toleranță de +/- 5 grade celsius, ceea ce este destul de mult.

Concluzie: ar trebui să cauți aparate omologate la nivel internațional pe care să scrie marja de eroare și să o pui la dispoziția persoanelor prin nota de informare.

Care e temeiul prelucrării acestor date?

Având în vedere obligația instituită prin Legea nr. 55/2020, rezultă că temeiul pentru prelucrarea temperaturii este îndeplinirea unei obligații legale, respectiv art. 6 alin. (1) din GDPR, coroborat cu art. 9 alin. (2) lit. i) din GDPR. 

Mai exact:

  • art. 13 din Legea nr. 55/2020
  • punctul 2 lit. a) și punctul 3 lit. b) din Anexa Hotărârii nr. 24/2020 a CNSSU

Interesul legitim al companiei nu este un temei de prelucrare în acest caz; spre exemplu DPA din Spania a precizat în mod expres că nu poate fi folosit un asemenea temei de prelucrare pentru că nu poate exista o justificare rezonabilă a operatorului și întotdeauna drepturile fundamentale ale persoanelor vizate vor fi afectate.

Consimțământul iarăși nu poate fi folosit drept temei de prelucrare, întrucât nu poate fi un consimțământ acordat liber (ar trebui ca persoanele să se poată opune, fără ca drepturile acestora să fie afectate, însă în contextul dat, acesta presupune că nu vor mai intra în incintă și astfel sunt automat privați de anumite drepturi, cum ar fi dreptul la muncă, la educație etc.)

Mai mult, conform DPA din Belgia, simpla măsurare a temperaturii, fără a fi înregistrată, face ca GDPR să nu se aplice.

Care este scopul prelucrării acestor date?

Prelucrarea datelor conform GDPR se face potrivit principiului limitării la scop. Acest principiu presupune că datele (temperatura corporală) pot fi obținute doar în scopul specific de a detecta posibile persoane infectate și de a evita accesul lor într-un anumit loc și contactul acestora cu alte persoane

Potrivit afirmațiilor furnizate de secretarul de stat Raed Arafat în data de 14 mai 2020, orele 23.45, temperatura de 37.3 grade Celsius a fost luată drept indicator de la Organizația Mondială a Sănătății dintr-un raport din data de 04 martie 2020, deși potrivit ultimelor orientări din data de 24 aprilie 2020, nu se face niciun fel de referire la temperatură în cazul triajului epidemiologic.

Scopul acestei prelucrări de date, respectiv identificarea acelor persoane care au peste 37.3 grade Celsius temperatură este de a preveni răspândirea și transmiterea noului de tip de coronavirus SARS CoV-2. 

Un alt scop secundar este acela de a dovedi îndeplinirea obligațiilor legale pe care le au operatorii atunci când prelucrează aceste date, pentru a decide dacă respectivele persoanele pot sau nu să intre în clădire. De asemenea, trebuie să fii foarte atent la procedura cu privire la temperatura angajaților pentru că te poate scuti de eventuale litigii în viitor.

Aceste date nu ar trebui utilizate în alt scop. Acest lucru se aplică în special în cazurile în care prelevarea temperaturii se realizează folosind dispozitive (cum ar fi, de exemplu, camere termice) care oferă posibilitatea înregistrării și stocării datelor sau prelucrării informațiilor suplimentare, în special date biometrice.

Stocarea temperaturii persoanelor

Ce date stocăm?

Măsurarea temperaturii cu ajutorul aparatelor non-contact sau prin contact, dar care nu permit înregistrarea

În cazul unui termometru non-contact, practic nu stocăm niciun fel de date cu privire la persoanele respective, întrucât măsurarea se face instantaneu, fără posibilitatea de memorare în cadrul termometrului non-contact.

Vom distinge aici două situații: (a) situația în care persoanele au temperatura de sub 37.3 grade Celsius, si (b) situația în care persoanele au temperatura peste 37.3 grade Celsius.

Situația 1: în cazul în care persoanele au temperatura sub 37.3 grade Celsius, atunci nu există date stocate, ci doar vor fi lăsate să intre în incintă.

Recomandarea este să nu existe un registru în acest sens, adică persoanele să nu fie înregistrate dacă temperatura este sub 37.3 grade, deoarece condiția presupune îndeplinirea criteriilor de temperatură la intrare în incintă. Altfel spus, dacă ai sub 37.3 grade, intri oricum în clădire.

Cu toate acestea, în cazul în care anumite organizații vor decide să facă un registru al acestor temperaturi, cu scopul de a arăta în cazul unui control ulterior că au respectat obligațiile, atunci aceste date vor trebui introduse și în registrul operatorului de prelucrare a datelor. Spre exemplu, în cazul în care la intrarea în incintă, angajatorul va dori să facă ”fișe de pontaj” în care să treacă inclusiv temperatura angajaților, situație pe care nu o încurajăm, în linie cu practica celorlalte state membre și a principiilor GDPR conform cărora prelucrarea datelor trebuie să fie mai puțin intruzivă.

Pe cât posibil, datele vor fi stocate sub formă minimală, prin utilizarea unor identificatori de tipul inițialelor, cum ar fi M.A. în loc de Maria Andronescu. Varianta optimă ar fi alocarea unui număr de identificare, precum 1247 pentru Maria Andronescu, dar considerăm că este extrem de dificil de implementat, mai ales având în vedere timpul scurt de conformare.

sau continuă cu:

Situația 2. în cazul în care persoanele au temperatura peste 37.3 grade Celsius, ar trebui să existe un registru separat pentru aceste intrări. Vorbim aici de un registru care să arate conformarea la obligațiile legale, pe care organizațiile să îl aibă la îndemână atunci când persoana respectivă va dori să facă o sesizare sau o plângere pentru că nu a fost lăsat în incintă.

În acest context, ar trebui ca și pe partea datelor personale, operatorul să treacă în registrul numele și prenumele complet al persoanei, ora, data, precum și temperatura existentă sub forma unei dovezi fotografice, care să fie stocate.

Acest lucru este deosebit de important deoarece vor exista foarte probabil destul de multe cazuri în care persoanele vor dori să facă plângere invocând abuzuri din partea autorităților sau eventuale conflicte la locul de muncă (dacă angajatorul te trimite acasă pentru că spune că ai 37.4 grade și nu-ți plătește ziua respectivă de muncă, de exemplu). Iar în cazul conflictelor de muncă, să nu uităm că sarcina probei revine angajatorului.

Întrebare de reflecție: cât de discreționar rămâne angajatorul în acest context? Poate să trimită angajații acasă, fără plată, pe motivul că temperatura corporală este peste 37.3 grade Celsius? Ce se întâmplă cu angajații care nu sunt lăsați să intre în clădire și au un accident pe drum: intră acesta la accidente de muncă, iar angajatorul este răspunzător?

Măsurarea temperaturii cu ajutorul aparatelor non-contact, dar care permit înregistrarea (camerele termice)

În primul rând, dacă decizi să implementezi un sistem de scanare termo cu ajutorul camerelor termice, trebuie să știi că ai nevoie obligatoriu anterior de o DPIA (analiză a impactului asupra prelucrării datelor personale).

Cum funcționează un asemenea sistem? Aceste sistem de control de acces la intrare unică cu camere infraroșii instalate, utilizează o funcție de imagistică termică pentru a măsura automat diferențele de temperatură între persoanele care trec prin aceste sisteme și un punct de referință termic anterior stabilit.

Spre exemplu, la intrarea într-o incintă ai camere termice instalate, setate pe temperatura de 37.3 grade Celsius. Dacă trec 100 persoane prin acel punct de acces și 1 persoană are 37.5 grade Celsius temperatură, camerele termice vor indica persoana respectivă pe monitor și eventual printr-un sistem de alarmă, iar personalul responsabil va putea identifica persoana respectivă și va proceda la urmarea instrucțiunilor, adică să nu i permită accesul în incintă.

Si aici, avem două situații: (a) camerele termice nu stochează înregistrarea și (b) camerele termice stochează înregistrarea.

Situația 1: camerele termice nu stochează înregistrarea. Cum este cazul camerelor de tip CCTV cu circuit continuu: practic ele merg în mod constant și doar alertează în momentul în care ai un eveniment declanșator (temperatura de peste 37.3 grade), dar fără a stoca imaginile respective.

În acest caz, operatorul ar trebui să treacă în registru doar operațiunea de prelucrare. 

Altfel stă situația în care există un eveniment declanșator, o persoană este identificată ca având temperatura de peste 37.3 grade și trebuie să se ia măsuri. În această situație, recomandarea este aceeași ca la termometrul non-contact: un registru cu nume, prenume, ora, data și o poză de pe imaginile camerei termice, pentru a putea avea o dovadă în cazul unei dispute ulterioare.

Situația 2: camerele termice stochează înregistrarea. În acest caz, stocarea trebuie făcută la minimul perioadei necesare, dacă se poate să fie șterse în aceeași zi și doar cele cu evenimente declanșatoare să fie păstrate, dar nu mai mult de 30 de zile, ca în cazul camerelor video obișnuite.

Atenție însă! Trebuie clar identificat de la bun început ce tip de camere se folosesc și ce date se stochează: dacă este pentru prima oară când operatorul introduce asemenea camere care stochează și alte date, precum imagini, toate aceste prelucrări trebuie trecute în registrul operatorului. Bineînțeles, efectuarea unei DPIA rămâne obligatorie și în acest caz.

Ai toate registrele necesare în produsul de mai jos:

Update 20 05 2020: potrivit ultimei declarații a secretarului de stat Raed Arafat, în cazul în care ai o temperatură mai mare de 37.3 grade Celsius, ți se va recomanda să mergi la medic. Până la acest moment nu există nicio dispoziție în acest sens în vreun ordin publicat.

Pe ce perioadă le stocăm?

Așa cum precizam anterior, teoretic nu ar trebui să stocăm aceste date deloc, dacă se poate. În cazul în care este absolut necesar să le stocăm sau dacă acestea vin la pachet cu alte date prelucrate prin intermediul camerelor video, atunci perioada de stocare trebuie să fie limitată la 30 de zile.

Trebuie să informăm persoanele?

Bineînțeles. Trebuie să informezi atât angajații, cât și vizitatorii despre prelucrarea acestor categorii de date.

Acest lucru presupune să actualizezi nota de informare pe care o aveai în relație cu persoanele vizate și să le-o aduci la cunoștință într-un mod cât mai clar și mai transparent.

Recomandăm să nu informezi persoanele doar prin actualizarea notei de informare pe website sau pe intranet, ci să efectuezi o informare activă, prin e-mail dacă vorbim de angajați și prin postarea unor afișe în acest sens la intrarea în incintă, pentru ca persoanele să fie informate.

Reamintim că nu este necesar un acord pentru prelucrarea acestor date sensibile, întrucât nu poate fi un consimțământ valabil exprimat, în sensul că nu poate fi acordat în mod liber, iar temeiul de prelucrare este îndeplinirea unei obligații legale.

Ce scriem în nota de informare?

Exact ce ar trebui să scriem la orice prelucrare, potrivit art. 13 si 14 din GDPR:

  • identitatea și datele de contact ale operatorului  (cine prelucrează?)
  • datele de contact ale responsabilului cu protecția datelor (sau ale persoanei responsabile, nu neapărat DPO dacă nu ai nevoie de unul)
  • elementele de date prelucrate (ce prelucrezi?)
  • scopurile pentru care prelucrezi datele (de ce?)
  • temeiul în baza căruia prelucrezi datele (cu ce drept?)
  • persoanele vizate de această prelucrare (cine?)
  • perioada de stocare (cât?)
  • dacă partajezi datele personale mai departe și cui
  • dacă transferi datele personale mai departe și cui
  • dreptul persoanei de a depune o plângere la ANSPDCP

Asta bineînțeles, pe lângă obligațiile generale de informare.

Cum ar trebui să arate nota de informare?

Ca să îți fie mai ușor, le-am pus sub formă de tabel:

Cine prelucrează datele?XXX S.R.L./S.A. sau Autoritatea XYZ sau Instituția ABC etc.
Unde ne poți contacta?[email protected] 
Scopul pentru care îți prelucrăm aceste datede a detecta posibile persoane infectate și de a evita accesul lor la un anumit loc și contactul acestora cu alte persoane
Temeiul prelucrăriiîndeplinirea unei obligații legale, respectiv art. 6 alin. (1) din GDPR, coroborat cu art. 9 alin. (2) lit. i) din GDPR. 
Mai exact:
– art. 13 din Legea nr. 55/2020
– punctul 2 lit. a) și punctul 3 lit. b) din Anexa Hotărârii nr. 24/2020 a CNSSU
[aici se pot da în mod expres articolele din documentele amintite anterior]
Persoanele vizateangajații, colaboratorii, vizitatorii, clienții, cu titlu generic persoanele care doresc să intre în incintă
Elementele de date personale– Temperatura corporală
– Nume, prenume (doar în cazul în care persoanei îi este refuzat accesul în incintă, pe motivul ca operatorul să poată dovedi în fața autorităților îndeplinirea obligației legale)
Perioada de stocare– N/A (în cazul în care suntem în prezența măsurării prin termometru non-contact, cameră CCTV)
– 30 de zile, în cazul în care există refuzul de acces în incintă, care se poate prelungi în cazul în care în aceste 30 de zile există o dispută/conflict/plângere administrativă, caz în care acele elemente de date vor putea fi stocate până la stingerea respectivei situații
Cu cine partajăm aceste informații?Aici va trebui personalizat în funcție de specificul activității organizației: – către autoritățile competente, la cererea acestora, pentru verificarea gradului de îndeplinire a obligațiilor legale
– către DSP, medicina muncii, medicul extern și alte autorități competente în cazul în care există un angajat cu aceste simptome și, potrivit procedurii interne, trebuie notificate autoritățile sau în cazul în care un angajat este confirmat cu coronavirus și autoritățile solicită date suplimentare
– furnizorii de servicii de tip cloud, dacă datele din sistemele de monitorizare video sunt stocate pe un server de acest gen
– furnizorii de servicii care au implementat monitorizarea prin intermediul camerelor, dacă acest serviciu este externalizat
– furnizorii de servicii care se ocupă de respectarea acestor obligații legale, dacă de exemplu ai externalizat acest serviciu către anumite persoane specifice, cum ar fi o firmă care să stea la intrare și să facă acest triaj
Cui transferăm aceste informații?Cu autoritățile competente, sub formă anonimizată, dacă solicită acest lucru.

Scurt check-list pentru organizații

Ca antreprenor, în perioada aceasta prelucrarea datelor cu caracter personal este probabil printre ultimele tale griji.

Cu toate acestea, ca operator de date ai o serie de obligații noi, pe care ți le impune legea și pe care trebuie să le respecți, iar prelucrarea datelor privind temperatura corporală este una din ele. 

Este important ca în toată această nebunie de moment să ai grijă de modalitatea în care prelucrezi aceste date și să fii transparent față de angajați, colaboratori, clienți si vizitatori.

În prelucrarea acestor seturi de date, ar trebui să ai în vedere următoarele aspecte:

  • Achiziționează aparate omologate la nivel național sau internațional
  • Verifică marja de eroare și informează persoanele despre asta
  • Oferă instructaj persoanelor care se ocupă de aceste măsurători
  • Fii transparent cu persoanele și scrie în nota de informare de ce prelucrezi datele, cum le prelucrezi, cât le stochezi și ce faci cu ele mai departe
  • Nu uita să actualizezi nota de informare, dar și politica de prelucrare la nivel companiei cu această nouă prelucrare, inclusiv la procedurile de stocare, retenție și ștergere a datelor
  • Actualizează registrul cu noua prelucrare a datelor
  • Dacă folosești camerele termice, nu uita să faci o DPIA
  • Dacă instalezi camere termice și ai persoane furnizori de servicii care se ocupă din exterior, nu uita de DPA (data processing agrement aka acord de prelucrare a datelor personale)
  • Verifică periodic informațiile din partea autorităților și adaptează politicile și modul de lucru

Chiar dacă poate că pare o pierdere de timp să faci și această documentare, gândește-te că întotdeauna este mai bine să previi decât să tratezi.


La avocatoo.ro suntem specializați în prelucrarea datelor cu caracter personal și a securității cibernetice. Ajutăm companiile să se conformeze normelor în mod practic, personalizat. Scrie-ne și hai să discutăm despre nevoile tale.

Poză de Gustavo Fring pe Pexels